Systémový administrátor NSA Edward Snowden předal médiím utajované dokumenty o projektech PRISM a Tempora, v jejichž rámci tajné služby USA masivně odposlouchávaly internetovou komunikaci. Materiály na toto téma zaplnily stránky snad všech médií po celém světě. Mimo odborná periodika však byly často publikovány informace v lepším případě neověřené, pravděpodobně i trochu zavádějící.

Vznikly spory, jaké firmy s americkými agenturami kooperovaly a do jaké míry šlo o jejich zákonnou povinnost. Měli by si snad uživatelé kvůli tomu rozmýšlet použití webových služeb provozovaných americkými společnostmi (což jsou však prakticky všechny nejpoužívanější služby, přičemž navíc neexistuje záruka, že jiné služby soukromí uživatelů respektují). Kauza byla provázena jistou hysterií, přirozeně také marketingem a záměrným zviditelňováním, když například organizátoři konference DefCon vyhlásili, že si na své akci nepřejí účast pracovníků tajných služeb.

Axelle Apvrille, kolegyně která pracuje jako senior mobile malware analyst researcher ve společnosti Fortinet, se pokusila uvést na pravou míru záplavu vyjádření, která na toto téma zazněla. Opatrnost je sice vždy na místě, nicméně podniky či další instituce dnes nejsou v roli bezmocných obětí, s nimiž si všemocné tajné služby mohou hrát jako kočka s myší. Mnoho tzv. uniklých dokumentů NSA působí například dojmem, že je nevytvořili kryptografové ani jiní technicky vzdělaní odborníci. Obsahují pouze vágní formulace – jako by šlo o prezentaci pro vysoký management, která vůbec nemusí korespondovat s realitou (což je pro tento typ dokumentů možná dokonce typické). 

Spolehlivost matematiky

Jaké zavádějící informace zazněly v souvislosti se Snowdenovou kauzou nejčastěji? Předně neexistuje žádný důkaz, že by byly ohroženy současné šifrovací techniky jako celek. Obecně je šifrování postaveno na solidním matematickém základu, z něhož vyplývá, jaké metody jsou bezpečné. Za riziko pro šifrování se někdy pokládají kvantové počítače. Je pravda, že společnost D-Wave již takový systém dodala i do komerčního provozu, jde však stále o jednoúčelové řešení. Jakkoliv tajné služby mohou získat do svých služeb špičkové matematiky, spousta jich pracuje i jinde. Samozřejmě se mohou objevit nové matematické techniky i výkonné systémy umožňující útoky hrubou silou, toto riziko je v porovnání s jinými hrozbami dnes ale spíše bezvýznamné.

Jakkoliv totiž jen výjimečně dochází k průlomu samotných šifrovacích algoritmů, standardně jsou zranitelné jejich konkrétní implementace. Mohou se zde vyskytnout chyby společné všem softwarovým aplikacím, například přetečení zásobníku (buffer overflow) nebo porušení paměti (memory corruption). Další možnost útoku proti šifrovací technice představuje postranní kanál (side channel), kdy útočník může využít například odposlouchávání určitých fyzikálních charakteristik systému (spotřeba energie, zvuk klávesnice, elektromagnetické vyzařování, …). Známý bezpečnostní expert Bruce Schneier, který se dostal k dokumentům NSA, uvádí, že tajné služby obecně využívají spíše podobné triky než matematiku příští generace.

Stejně zcestné je nejspíš i přesvědčení, že by tajné služby dokázaly zlomit šifru RSA. Ani obrovský výpočetní výkon a špičkoví kryptografové dnes téměř jistě nestačí k prolomení šifry RSA s 2048bitovým šifrovacím klíčem. Projekty lámající šifry (zejména RSA Factoring Challenge) se dosud dokázaly vypořádat maximálně se 768bitovým klíčem RSA, a i to vyžadovalo obrovské úsilí. Nicméně i u šifry RSA pochopitelně platí, že samotná technologie nechrání před chybnou implementací. Zranitelný pak může být i 1024bitový klíč, pokud se použije spolu s nevhodnou konfigurací příslušných knihoven. Při implementaci libovolného algoritmu či techniky je třeba zkoumat kontext, pro nějž byl navržen a v jehož rámci je deklarována jeho bezpečnost. Totéž co pro RSA platí i pro algoritmus AES – i ten je v zásadě bezpečný.

SSL a další slabiny

Na základě stávajících informací lze za zranitelnou pokládat ochranu pomocí protokolu SSL. Jeho zranitelnost je zřejmě výsledkem toho, že určité instituce dokáží získat podpisové klíče k celým doménám, eventuálně vstoupit doprostřed komunikace (tj. realizovat útok typu man-in-the-middle). Narušení SSL umožňují také speciální techniky, jako je Beast, Crime a Breach.

Rozšíření protokolu SSL s sebou již mnoho let nese velkou pozornost výzkumníků. Na bezpečnostních konferencích bývá každoročně odhaleno několik zranitelností SSL. Tajné služby a další instituce mají možná v rukou nějaké dosud nepublikované a neopravené (zero day) chyby. Zranitelné mohou být například často používané knihovny Microsoft CryptoAPI a OpenSSL. U OpenSSL se v minulosti již vyskytly závažné problémy s kontrolními certifikáty. Jejich hierarchie měla totiž pouze devět úrovní, takže vytvoření hierarchie s deseti úrovněmi vedlo k nepředvídatelným důsledkům vzhledem k tomu, že certifikáty desáté úrovně nebylo možno ověřit („nižší“ úroveň se ověřuje vždy podle vyšší). Namísto původního protokolu SSL lze doporučit jeho verzi 3.1, známou pod označením TLS (Transport Layer Security). I když i zde pravděpodobně existují zranitelnosti, upgrade měl obecně bezpečnostní rizika zmírnit.

Co se týče dalších rizik, je třeba připustit, že tajné služby mohou mít vliv při tvorbě standardů a nutí výrobce bezpečnostních aplikací vkládat do nich zadní vrátka (backdoor). Americký standardizační úřad NIST zřejmě udržuje vztahy s NSA. „U standardů RFC a IEEE se doporučuji dávat pozor na implementace metod pracujících s eliptickými křivkami,“ uvádí Axelle Apvrille. Mimochodem rovněž zmiňuje vlastní praxi. Před příchodem do společnosti Fortinet pracovala jako vývojářka jistého rozšířeného šifrovacího produktu. Aby tento produkt mohl být komerčně nabízen ve Francii, neexistovala jiná možnost, než k němu francouzské vládě poskytnout zadní vrátka, která umožňovala odposlouchávat libovolnou šifrovanou relaci nebo se dostat k otevřené podobě dokumentů. Vše se přitom odehrávalo v souladu s legislativou, příslušný schvalující „štempl“ (u všech produktů tohoto typu) tak fakticky znamenal přítomnost zadních vrátek.

Samozřejmě, že legislativa související s šifrováním se leckde liberalizovala, jinde ale naopak zpřísnila. Je třeba prostě mít na paměti, že vlády, tajné služby i jiné organizace internetovou a mobilní komunikaci i další data zkoušejí sledovat už dávno, zdaleka nejde jen o USA.

I tajné služby dělají školácké chyby

Význam přikládaný médii Snowdenově kauze se zdá být přemrštěný. Jde nesporně o politicky výbušné téma, stávající zásady podnikové IT bezpečnosti a související osvědčené postupy ale dále zůstávají v platnosti. V určitém ohledu celý případ ukazuje nejen na všemocnost tajných služeb, ale i na jejich slabost – danou tím, že tyto instituce často samy nedodržují standardní zásady zabezpečení, a v neposlední řadě i na malou vzdělanost v této oblasti mezi širokou veřejností.

Snowden totiž nemusel při úniku dat postupovat nijak sofistikovaně. Nasazená bezpečnostní politika sice například zabraňovala kopírování souborů na externí úložiště (vzpomeňte na podobnou kauzu WikiLeaks, kdy vojín Bradley Manning prostě vynesl utajované dokumenty na USB klíčence), ale pro Snowdena, který měl oprávnění správce, to neplatilo. Administrátorský účet mu také umožňoval přihlašovat se pod účty dalších uživatelů, a to včetně těch, kteří disponovali vyšším stupněm bezpečnostního prověření. Všechny operace mohl pohodlně provádět i vzdáleně. Podobná práva jako Snowden má přitom v rámci sítě NSA i celá řada dalších lidí. Často navíc nejde ani o řádné zaměstnance, ale externisty, zaměstnance subdodavatelů či dalších vládních agentur.

Manažeři odpovědní za zabezpečení podnikového IT, administrátoři i techničtí specialisté by se měli především snažit, aby k podobnému úniku dat nemohlo dojít v jejich organizaci – to je zřejmě nejdůležitější poučení z celého případu.

Vladimír Brož
Autor článku působí jako Country Manager společnosti Fortinet.